Trusted Design

CVE-2014-0502 の詳細

CVEの情報

説明:
Double free vulnerability in Adobe Flash Player before 11.7.700.269 and 11.8.x through 12.0.x before 12.0.0.70 on Windows and Mac OS X and before 11.2.202.341 on Linux, Adobe AIR before 4.0.0.1628 on Android, Adobe AIR SDK before 4.0.0.1628, and Adobe AIR SDK & Compiler before 4.0.0.1628 allows remote attackers to execute arbitrary code via unspecified vectors, as exploited in the wild in February 2014.

CVE更新日: 2014-02-21 05:07:00.017000

CVSSバージョン: 3.1

CVSSスコア: 8.8

KEVの情報

KEV更新日: 2024-09-17

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.242040000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2014-0502に関する調査結果を以下にまとめます。

1. 脆弱性の概要

CVE-2014-0502は、Adobe Flash PlayerおよびAdobe AIRに存在するダブルフリー脆弱性です。この脆弱性は、2014年2月に実世界で悪用されました。

1.1 影響

遠隔の攻撃者によって任意のコードが実行され、システムを完全に制御される可能性があります。

1.2 深刻度

この脆弱性のCVSS v2スコアは10.0であり、「危険(Critical)」と評価されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

  • Adobe Flash Player:
    • WindowsおよびMac OS X版のFlash Player 11.7.700.269より前のバージョン、および11.8.xから12.0.xの12.0.0.70より前のバージョン.
    • Linux版のFlash Player 11.2.202.341より前のバージョン.
  • Adobe AIR:
    • Android版のAIR 4.0.0.1628より前のバージョン.
  • Adobe AIR SDK:
    • 4.0.0.1628より前のバージョン.
  • Adobe AIR SDK & Compiler:
    • 4.0.0.1628より前のバージョン.

2.2 影響を受ける設定

この脆弱性は、Adobe Flash Playerが共有オブジェクトを処理する方法のバグによって引き起こされるダブルフリー脆弱性です。特定の「設定」ではなく、製品自体の処理に起因します。

3. 影響を受けた時の兆候

攻撃は、まずサーバー側の脆弱性を悪用して正規のウェブサイトに悪意のある隠しiframeを挿入することから始まります。ユーザーがこの改ざんされたサイトにアクセスすると、別の悪意のあるサイト(例:giftserv.hopto.org)にリダイレクトされます。

その後、以下のような兆候が見られる可能性があります: * 悪意のあるスクリプトがOSのビット数(32ビットまたは64ビット)や使用しているブラウザ(IE、Mozilla、Chromeなど)をチェックする. * OSのバージョンや言語に応じて、悪意のあるFlashファイル(例:cc.swf)がロードされる. * 悪意のあるFlashファイルがゼロデイエクスプロイトを成功させた後、シェルコードを含む画像ファイル(例:logo.gif)をダウンロードし、実行する. * バックドアマルウェア(例:server.exe)がダウンロードされ、実行される。このマルウェアが攻撃者と通信する可能性があります。 * システムが予期せず終了したり、任意のコードが実行されたりする。

4. 推奨対策

4.1 本対策

  • パッチの適用: Adobe Flash PlayerおよびAdobe AIRを、脆弱性が修正されたバージョンにアップデートしてください。
    • Flash Player for Windows および Mac OS X を 12.0.0.70 以降、または 11.7.700.269 以降にアップデート。
    • Flash Player for Linux を 11.2.202.341 以降にアップデート。
    • Adobe AIR および AIR SDK を 4.0.0.1628 以降にアップデート。
  • 製品の利用中止: この脆弱性の影響を受ける製品(Adobe Flash Player)は、現在すでにサポート終了(End-of-Life: EoL)しています。ユーザーは製品の利用を中止するべきです。

4.2 暫定回避策(緩和策)

  • 信頼できる提供元からのインストール: アプリケーションやアドオンは、信頼できる提供元からのみインストールする。
  • ソフトウェアの最新状態の維持: ブラウザやその他のアプリケーションを常に最新の状態に保つ。
  • セキュリティソリューションの導入: 脆弱性管理ソリューションを導入し、システムの更新とセキュリティを維持する。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る